パパね。

メロンパンをやっと作れたね。



※ちょっとみためはアレかもしれませんが・・・

君も一緒に材料を混ぜたり
こねたりして一緒に作ったんだよね。

ママもすごく喜んでくれたし

おいしかったね。

またパパと一緒につくろうね!




■セミナー[PKI Day 2015]に参加して


4月10日(金)に、【PKI Day 2015】という
セミナーに行って参りましたので
本日はそのレポートを記事にします。
(PKIについてはこちら)

PKI Day 2005
(各講演で使用された資料はこちらです↑)


※PKI　day 参加者の皆様方
内容に不備があったり、
公開してほしくない情報が掲載されている場合、
修正させていただきますので
ご連絡をくださいませ。


どういうセミナーかというと、
インターネットでHTTPS通信や、電子文書で使用している
PKI(公開鍵と呼ばれる暗号化技術を支える仕組み)について、
法律・規則や技術そして、産業への応用についての情報を公開・共有するセミナーでした。

年一回程度開催、参加費は無料のセミナーでしたが
今後、サイバーセキュリティ業界で働きたいと願う御用聞きSEの私にとっては、
とても濃い内容でした。


ちなみに。PKI Dayのセミナーについのお話ですが、
10年前の開始当初は、
技術的な色が濃かったそうです。

しかし、社会のインフラとして情報技術が発展していくにつれて、
法整備や国外の規約とも連携をとっていかないと、
ガラパゴス化して、誰にも使われない技術になってしまうという話になったそうです。

それで、国際的な規約・各国の法的な観点も含めて、
標準的な整合性をかんがえた上で、
技術仕様の策定を進めていこうといった流れになっているようです。


また、サイバーテロについても、より金銭的な利益を追求し
社会的にも影響力の高いシステムの基盤になる技術(例えばPKI)の
脆弱性を狙う攻撃が増えているそうです。


また、サイバーテロよりもオペレーションミスが
大きなインシデントに発展することが多いことから、
実務担当者のオペレーションミスを防ぐ枠組みを用意することも重要ですね。



私個人の目標としては、
こういった攻撃や防衛についても理解して習得することで、
先を見通して、さらに一歩進んだサイバーセキュリティの領域に
到達したいと考えています。



※以下、長い内容となりますので
興味のある方だけご覧ください。


8名の講師の方の講演内容を簡単にまとめて、
所感を記載しました。


概要を見て興味を持たれた方は、各講演タイトルのリンク先の文書もご覧ください。



1.【基調講演】「サイバーセキュリティの状況とPKIの取組み」(1) (2)
・東京工科大学 教授 手塚 悟 氏



[所感]
・IT企業に勤めるビジネスパーソン
・企業のセキュリティ担当者
・企業・官公庁のシステム部門の方
などに知っていただきたい内容ですね。

政府がITに関して法制度や教育を強化している
歴史的背景や全体的な方向性がわかりやすく
まとめてあったので、私はなるほどといった感じでした。

是非とも、講師の口から話を聞きたかったですね。


[概要]
講師の方が、当日にトラブルが発生したという事情で、
残念ながら参加されなかったです。。。


資料を拝見する限り、日本は世界最先端IT国家を目指そうという
方向性になっているようです。

その取り組みとして、「サイバーセキュリティ基本法」があったり、
「マイナンバー制」の導入があったり、
電子署名や電子認証をもっと有効に活用しようという動きがあったり
個人情報保護の枠組み強化等があるようです。




2.【講演】「欧州の動向-電子署名指令からeIDAS規則へ」
・株式会社コスモスコーポレイション 濱口 総志 氏



[所感]
・企業のシステム部門の課長などの管理職や法務担当者
・企業のセキュリティ担当者
・個人・法人認証業務に携わっている企業や官公庁・役場の方
に知っていただきたい内容だと思います。

企業や役所の書類・手続きの電子化が遅れている日本の状況、
その原因、これから向かうべき方向性が分かる内容でした。

個人的には、日本政府が抱えている問題点や
IT先進国の欧州が抱えている問題や解決方針などを
もっと情報公開していただきたかったですね。

あとこのプロジェクトの進行について、
認証対象の人へのなりすましを
どう防ぐかについて、もっと検討・議論する必要も
今後の課題ではないかなと感じました。



[概要]
欧州では、電子文書等で法的効力を持たせる枠組みの運用が始まっているが、
日本は出遅れています。

法的効力が紙媒体限定で認められている日本でも、
電子媒体に法的効力を持たせようと動きだしています。

そのためには、日本の法律や行政の枠に留まらず、
欧州などの加盟国とも連携をとり、
各国の法律の基盤となる規約の基盤や、
技術基盤の枠組みについて共通化していく必要があります。

国家間でも信頼性の高い個人認証や法人認証を
デジタル(電子書名や電子シール)で実現できるようにしましょう
というような内容でした。




3.【講演】「トラストリストと信頼のグローバル化」
・セイコーソソリューションズ株式会社 村尾 進一 氏



[所感]
・企業のシステム(サーバ管理などでCAにからむ業務をしている)担当者
・システム開発会社の上級SE、プロジェクトマネージャ
・企業のセキュリティ担当者
・CA(電子証明書の発行や、確認)業務に携わる方
に知っていただきたい内容だと思います。


トラストサービスについて
政治的な問題や、技術的な問題の現状が把握できる内容でした。
また、内容が充実していて良かったです


反面、濱口氏の講演内容やトラストサービスの話へのつなぎとして
『信頼性を高めるためには、トラストサービスについて充実させることが優先課題なんだ』
といったことが伝わってくるつなぎがあると、
トラストサービスの内容に入りやすいと個人的には感じました。
(時間的や講演者同士の連携的な厳しさも察しますが。。。)


[概要]
電子証明書は現在色々な課題がある。
トラストサービス(安心と信頼が強化する電子サービス)を実現するためには、
信頼出来る情報をトラストリストとして、標準化して持たせる。

そうすることにより、
作業を自動化できるようになったり、管理が容易になったり
諸外国とも相互運用できたりとメリットが大きいです。

ですので、以下のような課題に対応していく必要がある
といった内容でした、

a.国内の法制度や認定・監査制度、トラストサービスの規定等を決めた上で
互換性のあるシステム基盤を開発する必要がある。

b.EUといった加盟国と相互運用出来るように連携をとっていく。

c.トラストリストを導入・実装する上で導入企業での検証が必要。




4.【講演】「次世代電子署名認証法制に向けた課題」
・神戸大学大学院法学研究科・法学部 教授 米丸 恒治 氏



[所感]
・企業のシステム部門管理職の方
・法務担当者
・企業のセキュリティ担当者
・CA(電子証明書の発行や、確認)業務に携わる方
に知っていただきたい内容だと感じました。

私は、技術者(の端くれ)なので
法律についてはあまり知識がないのですが、
今後は、技術者も法律についての知識を入れていかないと
いけない時代になったなぁと感じました。



[概要]
電子署名法(
以下のことを証明する法律
1.データを作った人が誰か
2.改ざんされていないか
3.ある時点で既に電子文書が存在してた
)
認証(信頼できる企業・組織を認定する)業務については、
法整備の点からも様々な課題がある。

ドイツの法制度を見習うことや、
信頼性や個人情報保護法との兼合を考えることや、
責任の明確化に努めること、
技術の進歩にまかせて後から法整備を行うスタンスをやめて
国主導で、技術的な部分についても詳細に法で制定していくべき。

現在は、技術と法制度を最適化した法律
「適格電子署名認証制度」の実現に向けて動いている。




5.【講演】「RPKIの技術課題と信頼構造」
・一般社団法人 日本ネットワークインフォメーションセンター(JPNIC) 木村 泰司 氏



[所感]
・企業のシステム(ネットワーク)管理者
・技術者(ネットワークエンジニア、セキュリティエンジニア)
・セキュリティ担当者・セキュリティコンサルタント
に知っていただきたい内容だと感じました。

かなりネットワーク技術に踏み込んだ内容なため、
個人的には大変興味深かった。

しかし、サイバーセキュリティは
攻撃側が圧倒的に有利で、防御側が不利であることを
改めて認識した。

そして、PKI技術の応用例の本講演が、
スケジュール変更で
このタイミングとなってしまったので、
参加者と講演者にかなり温度差が出来てしまったのが、
なんとも残念に思えた。



[概要]
技術標準を作らないと良いものはできない。

2008年のYoutubeインシデントでは、
ある国のインターネットプロバイダで
ネットワーク情報を改ざんすることで、
全世界のネットワークに、
自国のネットワーク内にYoutubeサーバがあると嘘の情報を発信することで、
Youtube閲覧者を自国のネットワークに誘導した。


このインシデントでは、
いとも簡単に、この様な大規模な障害が発生するという問題に危機感を抱き、
コンピュータネットワーク全体で対処しなければいけないという動きがあったため、
既にインフラ化したネットワーク技術に手を入れるという、
大変なことをやってのけた。

それが技術標準に基づいて構築された、RPKIという技術になる。

RPKIの技術についての現状の仕組み・課題・課題対策方針の説明。




6.【講演】「PKIの新しい活躍の場＝繋がる自動車。そこで生まれる恩恵と脅威、それらへの方策」
・富士通研究所 R&D戦略本部IPR戦略室シニアエキスパート、博士(工学)、TCG理事 小谷 誠剛 氏



[所感]
・IT企業で働くビジネスパーソン
・営業、セキュリティ担当者・セキュリティコンサルタント
・システム開発技術者
に知っていただきたい内容だと感じました。

内容については、IT系のニュースとなる内容から
海外との標準化の進め方、セキュリティ対策、技術仕様などについて
包括的だったので大変おもしろかった。

他の講演者や参加者も、この講演に興味を持っていた方は
多いように感じた。

時間があれば、もっと講演を聞きたいほど濃い内容でした。


[概要]
講演の内容が、タイムリーにプレスリリースされた。

自動車のリコールの原因のうち3割が、ソフトウェア不具合に依存するものです。
そして、リモートでソフトウェア不具合を更新できるようにすることで、
その3割はリコールすることなく、引き続き利用できるようになります。


IoT(いろんな物にインターネットを利用する考え)に代表されるように
自動車業界でも新たなイノベーションとして
ネットワーク環境を利用した、リモートメンテナンスや自動運転をはじめとした
様々なサービスを、自動車に取り入れる取り組みが進んでいる。

ただそのためには、各部品にも
セキュリティモジュールとしてPKIをとりいれたり、
現在でも1000万ステップとなる
巨大なソフトウェアをメンテナンスする必要がある。

そういった思想では、いくらでもコストが跳ね上がる。

そこで『守るセキュリティから救うセキュリティ』という考えで
開発を進める。

現状、諸外国の自動車産業の思惑と戦いながら、
世界標準となるよう事を進めている。

しかし、技術的な課題などもあり
実現するのは2017,2018年度となる見通し。



7.【講演】「SSL/TLS生誕20年、脆弱性と対策を振返る」
・富士ゼロックス株式会社 漆嶌 賢二 氏、CISSP


[所感]
・企業のシステム(サーバ)管理者
・技術者(サーバエンジニア、セキュリティエンジニア)
・セキュリティ担当者・セキュリティコンサルタント
に知っていただきたい内容だと感じました。

今回の講演で、技術者(の端くれ)の私にとっては、
一番楽しくて興味深い内容でした。

技術的な説明についても大変わかりやすかったです。

中でも、「講師による独自の2014年脆弱性ランキング」は必見です。


[概要]
・SSL/TLSについての20年の歴史背景から、現在の課題や解決方針の説明。
・脆弱性やサイバー攻撃、サーバ側実装面での対策や設定について、技術面で説明。
・ハッシュアルゴリズムは、早いところSHA1ではなくSHA2に切り替える
・クライアント側に任せるよりも、サーバ側で設定してあげるという考えを基本に
・暗号化モジュール(openssl)については、今後に注目
・講師による独自の2014年脆弱性ランキング
--第6位:Apple(MacOS X)、iOSのgoto fail脆弱性
--第5位:NULL終端による証明書ホスト名一致確認不備
--第4位:POODLE攻撃、BEAST攻撃など
--第3位:認証局の問題による不正証明書発行
--第2位:MD5ハッシュ衝突による証明書偽造
--第1位:HeartBleed脆弱性




8.【講演】「Windows, Internet Explorer のセキュリティのいま」
・日本マイクロソフト セキュリティプログラム マネージャー 村木 由梨香 氏



[所感]
・(Windowsパソコンを利用している)企業のシステム担当
・技術者(Windowsサーバエンジニア、セキュリティエンジニア)
・セキュリティ担当者・セキュリティコンサルタント
に知っていただきたい内容だと感じました。


やはり、企業で一番利用数が多いWindowsに関する内容ですので
興味のある方は多かったようです。

ですので、講演についても
操作方法やサポートなどをOSごとに記されており、
補足情報のリンクも提供していたため、
ユーザ企業にとっては、大変わかりやすい内容となっていました。


しかし、複数のバージョンのOSを稼働させている
企業もかなりあると思いますので、
各OSバージョンによって、
証明書設定の差異についてや、
今後のSSL/TLSに対する方針については、
もっと情報が欲しかったのではないでしょうか。
(リンク先で示すなど)

Windowsパソコンからの使用や設定方法等についての説明については、
その部分についてはサポートサイトにも、
体系的なページで用意しておくと良いかと思います。


世界をまたにかける大企業の難しい立場として、
講師のかたも大変だと思いますが、
業界の標準化についても、
リーダーシップを発揮していただけると幸いと思う次第です。

お疲れさまでした。



[概要]
・Windowsの暗号化エンジンとして、window s-channelなるものがある
・SSL/TLS暗号化機能については、Windows 10で各アプリケーションの共通機能にする予定
・Internet Explorer・レジストリにおける、証明書管理機能・設定の説明
・証明書管理ツール:Smart Screen, Trac Certificates, Certificate Pinning,
・SHA1ハッシュアルゴリズム廃止スケジュール
・証明書関連のセキュリティアドバイザリ




9.【パネルディスカッション】「SSL/TLSの実装が進むべき道を語ろう」
・<モデレータ>
セコム株式会社 IS研究所 島岡 政基 氏

・<パネリスト>
富士ゼロックス株式会社 漆嶌 賢二 氏、CISSP
日本マイクロソフト セキュリティプログラム マネージャー 村木 由梨香 氏



[所感]

企業が入ると、技術の標準化を進める上で、
自社の利権などがからみ、進めるのが難しそうです。

そこでまた、各社の独自仕様に走らないように
してほしいですね。

また、画面デザインやメッセージ、エラーの種類、使用する技術基盤について
どこまで、標準化するかでもめている様ですが、
早いところ、標準化する線引きを決められると良いですね。
(とても苦しいことかもしれませんが)

でないと、苦しくなるのはユーザであり、
そのソフトウェアを開発したり
メンテナンスに関わる企業や
技術者だと思いますので。。。




10.他:各章プログラム紹介者

・セコム株式会社 IS研究所/PKI相互運用技術WGリーダー 松本 泰 氏
・三菱電機株式会社 情報技術総合研究所 宮崎 一哉 氏
・セコム株式会社 IS研究所 島岡 政基 氏




■最後に


最後に、私はサイバーセキュリティを
個人的に学んでいるとはいえ、
実務ではシステム開発の現場に役立てることがメインでした。


そういった意味で、本セミナーでは
社会的な枠組みから、技術的な部分まで、
日本の第一線で活躍している立場の方のお話や、包括的な状況を
知ることができましたので、大変有意義な時間を過ごすことができました。


講演いただきました、講師の方々並びに
本セミナーを開催していただいたJNSAの皆様に、
参加させていただき、大変感謝しております。

今後とも、皆様のご発展並びにご健闘をお祈りいたします